ESET 온라인 도움말

검색 한국어
항목 선택

탐지 레이어의 작동 방식

ESET LiveGuard Advanced은(는) 4개의 개별 탐지 레이어를 사용하여 가장 높은 탐지 속도를 보장합니다. 각 레이어는 서로 다른 접근 방식을 사용하고 샘플을 통해 각각의 평가 결과를 제공합니다. 최종 평가는 샘플에 대한 모든 정보의 결과입니다. 아래 체계에서 프로세스의 개요를 참조하십시오.

layer_overview

전체 크기의 그림 이미지를 클릭합니다.

레이어 1: 고급 압축 해제 및 검사

ESET LiveGuard Advanced의 초기 레이어, 이른바 고급 압축 해제 및 검사 레이어에 들어가면 정적 샘플은 ESET의 위협 데이터베이스, 즉 실험적으로 강화되고 분산된 탐지는 물론 포괄적인 정상 항목, 잠재적으로 원하지 않은 항목(PUA) 및 잠재적으로 안전하지 않은 항목(PUsA)의 목록과 일치됩니다. 악성코드는 종종 다양한 압축 레이어 뒤에 악성 코어를 숨겨 탐지를 방해하려고 합니다. 따라서 적절한 분석을 위해 이 코팅을 제거해야 합니다. ESET LiveGuard Advanced은(는) 고급 압축 해제 및 검사를 사용하여 ESET 연구원이 악성 코드에서 발견한 패커를 기반으로 고도의 특수 도구를 활용함으로써 이를 달성합니다. 이러한 특수 압축 해제 프로그램은 악성코드의 보호 레이어를 제거하여 ESET LiveGuard Advanced이(가) 강화된 위협 데이터베이스와 샘플을 다시 한 번 일치시킬 수 있습니다. 고급 압축 해제 및 검사 레이어는 샘플을 악성코드, 정상, PUA 또는 PUsA(으)로 분류합니다. 압축 해제 프로그램과 관련된 보안 위험 및 하드웨어 요구 사항을 비롯해 기타 통합된 절차로 인해 안전한 고성능의 환경이 필요합니다. 이 고유한 환경은 ESET LiveGuard Advanced의 강력하고 탄력적인 클라우드 인프라에서 제공됩니다.

layer_1

레이어 2: 고급 머신 러닝 탐지

ESET LiveGuard Advanced에 제출된 각 항목은 또한 고급 머신 러닝 탐지를 통한 정적 분석의 대상이 되어 샘플의 기본 특성을 생성합니다. 추가 처리 없이 압축 또는 암호화된 코드를 분석하면 노이즈를 분류하려고 하므로 제출된 항목은 항목의 지침 및 DNA 유전자를 추출하는 보다 동적인 다른 분석을 동시에 거칩니다. 샘플의 활성 기능 및 동작을 설명하여 압축되거나 난독화된 개체의 악의적인 특성이 실행하지 않고도 발견됩니다. 이전 모든 단계에서 추출된 정보는 소규모의 신중하게 선택된 분류 모델과 딥 러닝 알고리즘에 의해 추가로 처리됩니다. 마지막으로 이 모든 정보는 악성, 매우 의심스러움, 의심스러움, 정상의 네 가지 가능성 수준 중 하나를 반환하는 신경망을 통해 통합됩니다. 이 ESET LiveGuard Advanced 레이어 또는 다른 해당 레이어가 사용되지 않는 경우 "분석이 필요하지 않음" 메시지가 표시됩니다. 이러한 절차의 복잡성과 하드웨어 요구로 인해 사용자의 엔드포인트에서 제공하는 인프라보다 훨씬 강력한 인프라가 필요합니다. 계산이 많은 작업을 처리하기 위해 ESET 엔지니어는 우수하고 복잡한 시스템 세트인 ESET LiveGuard Advanced을(를) 고안했습니다.

layer_2

레이어 3: 실험적 탐지 엔진

각 샘플을 추가로 분석하려면 이전 결과를 보완하기 위해 더 깊이 있는 동작 기반의 분석이 필요합니다. 이 유형의 위협 인텔리전스를 수집하려면 실험적 탐지 엔진이라고 하는 또 다른 ESET LiveGuard Advanced 레이어가 사용됩니다. 이 레이어는 의심스러운 항목을 정확하게 구성된 시스템 세트로 삽입합니다. 이 시스템은 일종의 "스테로이드 샌드박스"인 다양한 운영 체제를 사용하는 완전한 컴퓨터와 매우 유사합니다. 이러한 고도로 제어된 환경은 모든 작업을 기록하는 많은 ESET의 탐지 알고리즘이 장착된 모니터링 셀 역할을 합니다. 숨겨진 악의적인 동작을 식별하기 위해 실험적 탐지 엔진은 대량의 메모리 덤프도 생성합니다. 이러한 덤프는 이후에 검사되고 게시 취소된 탐지 및 실험적 탐지를 통합하는 ESET의 강화된 위협 데이터베이스에 대해 일치되어 매우 정확한 탐지 결과와 매우 적은 수의 오탐지를 보장합니다. 실험적 탐지 엔진에서 수집한 인텔리전스는 또한 샌드박스에 의해 탐지된 포괄적인 이벤트 목록으로 컴파일되며, 이는 최종 ESET LiveGuard Advanced 탐지 레이어인 상세 동작 분석에서 추가 분석을 위해 사용됩니다.

layer_3

레이어 4: 상세 동작 분석

상세 동작 분석이라고 하는 최종 ESET LiveGuard Advanced 레이어에서는 하드 드라이브에서 생성되거나 삭제된 파일, Windows 시스템 레지스트리에 추가되거나 제거된 항목, 모든 외부 통신 시도 및 실행 중인 스크립트를 포함한 모든 샌드박스 출력이 철저한 동작 분석의 대상이 됩니다. 이 단계에서 ESET LiveGuard Advanced은(는) 평판이 나쁜 웹 위치에 대한 연결 시도, 알려진 악의적인 개체 사용, 특정 악성코드 제품군에서 생성된 고유한 문자열의 사용과 같은 악의적이고 의심스러운 작업에 집중하고 있습니다. 상세 동작 분석은 또한 샌드박스 출력을 논리적 블록으로 나눕니다. 그 다음 이 논리적 블록은 이전에 분석된 패턴 및 작업 체인의 광범위하고 주기적으로 검토되는 데이터베이스와 일치되어 악의적인 동작의 가장 사소한 표시도 식별합니다.

layer_4

최종 결과

ESET LiveGuard Advanced은(는) 탐지 레이어에서 사용 가능한 모든 평가 결과를 결합하고 샘플의 상태를 평가합니다. 결과는 사용자의 ESET 보안 제품 및 회사의 인프라에 먼저 전달됩니다.

Layer_verdict